Les raccourcisseurs d’URL protègent-ils vraiment vos données ?
Lors d’une étude sur les raccourcisseurs URL, deux chercheurs américains mettent en avant une faille qui permet d’accéder à certains documents associés à des utilisateurs.
La réduction d’Url consiste à assigner une clé unique de quelques caractères à une page web en fournissant une très courte URL, très utilisée sur les réseaux sociaux, notamment, pour gagner de l’espace sur un post.
Le succès des réseaux sociaux ont vu l’émergence de ces services d’abréviation qui permettent d’aider les community manager à optimiser leurs publications. C’est dans cette logique que deux chercheurs de l’université Cornell tech à New York, que Vitaly Shmatikov et Martin Georgiev, se sont penchés pendant 18 mois sur l’analyse de la génération des Urls.
Problème majeur : la sécurité
Les Urls ne sont pas générés aléatoirement. En effet, si un attaquant possède un calculateur très puissant, il pourrait deviner ou retrouver le lien caché derrière une URL raccourcie. Avec cette méthode, les deux chercheurs ont réussi à trouver plus d’un million de documents, hébergés sur Onedrive, sur un scan de 100 millions d’adresses. Vitaly Shmatikov et Martin Georgiev ont obtenu plus de 23 millions d’itinéraires Google maps.
« Parmi ces différents liens, de nombreux trajets sont ainsi liés à des itinéraires parfois sensibles : des cliniques dédiées à certaines maladies spécifiques, des centres de traitement pour la toxicomanie, ou des cliniques proposant des avortements, des centres correctionnels ou des maisons d’arrêt ou encore des clubs de strip tease ». Explique l’un des chercheurs.
Contrairement à Microsoft qui a désactivé ce service, Google a complexifié son algorithme en passant de 11 à 12 caractères (au lieu de 6).
Les deux chercheurs conseillent de ne plus utiliser ces services et recommandent d’utiliser son propre services de raccourcisseurs URL. Seulement l’utilisation des ces raccourcisseurs URL sont rentrés dans la pratique de beaucoup d’internautes, la sensibilisation à ce problème risque de prendre du temps.